Faut-il payer la rançon ?

Non, pas en première intention. Les autorités françaises (ANSSI, police judiciaire), américaines (FBI, CISA) et européennes (Europol) recommandent toutes de ne pas payer. Le paiement ne garantit pas la récupération, finance la cybercriminalité, et marque la victime comme rentable pour de futures attaques. Plusieurs souches ont des déchiffreurs gratuits sur No More Ransom.

Combien de temps ai-je pour réagir ?

Plus vite vous coupez la propagation, mieux c'est. Beaucoup de ransomwares chiffrent en cascade — d'abord les fichiers locaux, puis les partages réseau, puis les sauvegardes connectées. Déconnectez le réseau et les disques externes dans les minutes qui suivent la découverte.

Mes sauvegardes locales sont aussi chiffrées, que faire ?

C'est le scénario le plus fréquent — les ransomwares modernes ciblent activement les disques de backup connectés. Vérifiez si vous aviez une sauvegarde cloud avec versioning (OneDrive, Backblaze, iDrive) : les versions antérieures au chiffrement sont récupérables. Sinon, recherchez les shadow copies Windows non encore détruites.

Comment identifier la souche du ransomware ?

Notez l'extension ajoutée aux fichiers chiffrés (par exemple .locked, .crypt, .lockbit) et le contenu du fichier README laissé par les attaquants. Uploadez un fichier chiffré + le README sur ID Ransomware (id-ransomware.malwarehunterteam.com) — la base reconnait la plupart des souches en quelques secondes.

Un logiciel de récupération peut-il déchiffrer mes fichiers ?

Non, aucun logiciel de récupération ne déchiffre. Ce que EaseUS Data Recovery peut faire : retrouver des copies non chiffrées encore présentes dans l'espace libre du disque, dans les shadow copies, ou dans les fichiers temporaires (Office .tmp, Photoshop .psb).

Faut-il porter plainte ?

Oui, systématiquement. En France : plainte au commissariat ou en ligne sur cybermalveillance.gouv.fr. Aux États-Unis : IC3.gov. Dans l'UE : Europol via le portail national. Cela alimente les enquêtes, peut débloquer une aide d'assistance, et est exigé par la plupart des assurances cyber.

Récupérer ses fichiers après un ransomware : méthodologie 2026

Un message en plein écran réclame une rançon en bitcoin, vos documents portent une extension étrange (.locked, .lockbit, .crypt), votre antivirus s'est éteint ou a été désactivé. Vous êtes face à un ransomware. Les heures qui suivent déterminent ce que vous pourrez récupérer.

Ce guide rassemble la méthodologie de réponse appliquée par les CSIRT et les assureurs cyber en 2026, adaptée au cas particulier (un poste de travail, pas un SI d'entreprise).

Phase 1 — Isoler immédiatement (les 5 premières minutes)

Ne cherchez pas à comprendre tout de suite. Le ransomware continue probablement à chiffrer.

Débranchez le câble Ethernet et désactivez le Wi-Fi (mode avion).
Retirez tous les disques externes et clés USB. Les ransomwares modernes (Conti, LockBit, BlackCat) ciblent activement les supports connectés.
Si vous êtes sur un réseau partagé (NAS, partage Windows), prévenez les autres utilisateurs et déconnectez-les eux aussi du réseau. Le ransomware peut se propager par SMB.
Ne mettez pas le PC hors tension brutalement. La mémoire contient parfois la clé de chiffrement, exploitable par certains outils forensiques.

À ce stade, le chiffrement actif s'arrête (les ransomwares ont besoin d'un réseau ou d'un disque pour continuer). Reprenez votre souffle.

Phase 2 — Documenter pour la plainte et les déchiffreurs

Avec un autre appareil (téléphone, deuxième PC), constituez un dossier de preuves :

Photo de l'écran de rançon.
Capture du nom du fichier README laissé par les attaquants (souvent README.txt, HOW_TO_DECRYPT.html, etc.) et de son contenu intégral.
Notez l'extension ajoutée aux fichiers chiffrés (.locked, .lockbit3, .crypt, etc.).
Heure approximative de découverte.
Liste des programmes qui tournaient juste avant.
Origine probable (pièce jointe d'un mail, lien suspect, mise à jour d'un logiciel piraté).

Ces éléments servent à la plainte (obligatoire pour activer l'assurance cyber) et à l'identification de la souche.

Phase 3 — Identifier la souche

Sur l'autre appareil, allez sur id-ransomware.malwarehunterteam.com (projet maintenu par Michael Gillespie depuis 2016). Uploadez un fichier chiffré + le README. L'outil reconnait la plupart des souches en quelques secondes.

Une fois la souche identifiée, vérifiez si un déchiffreur gratuit existe sur No More Ransom — initiative conjointe d'Europol, de la police nationale néerlandaise et de plusieurs éditeurs antivirus. La base couvre plus de 200 souches en 2026, dont certaines familles répandues (Phobos, STOP/Djvu — partiellement, Avaddon, REvil).

Si un déchiffreur existe : suivez ses instructions à la lettre, testez d'abord sur un fichier copié à part (jamais sur l'original).

Phase 4 — Restaurer depuis une sauvegarde saine

C'est la voie de récupération la plus fiable, si vous aviez une sauvegarde.

Cas 1 — Sauvegarde cloud avec versioning

OneDrive, Google Drive, Dropbox, Backblaze, IDrive et les services équivalents conservent des versions antérieures des fichiers. Concrètement :

OneDrive : web → fichier → menu trois points → Historique des versions. Permet de restaurer la version précédant le chiffrement.
Google Drive : web → fichier → clic droit → Gérer les versions.
Backblaze Computer Backup : interface web → bouton Restore → choisir la date pré-attaque.
iCloud : limité, ne stocke pas toutes les versions ; vérifiez le site d'iCloud Drive.

Restaurez fichier par fichier ou en masse via les API des services concernés. Ne reconnectez pas le poste infecté à votre compte cloud tant qu'il n'a pas été nettoyé.

Cas 2 — Sauvegarde locale (disque externe / NAS)

Si vous aviez débranché le disque entre les sauvegardes, il est probablement sain. Pour le vérifier :

Sur un autre PC sain, branchez le disque en lecture seule (lecteur USB avec switch de protection en écriture si possible).
Ouvrez les fichiers récents — s'ils s'ouvrent normalement, la sauvegarde est intacte.
Procédez à une réinstallation propre du système d'exploitation sur le PC infecté.
Restaurez depuis la sauvegarde une fois l'OS reconstruit.

Si le disque externe était connecté au moment de l'attaque, considérez-le comme potentiellement chiffré. Scannez son contenu — les fichiers récents porteront probablement la même extension.

Phase 5 — Récupérer les shadow copies et fichiers résiduels

Sans sauvegarde et sans déchiffreur, il reste deux pistes :

Shadow copies Windows

Windows crée parfois des shadow copies (clichés instantanés du volume) que les ransomwares essaient de supprimer en exécutant vssadmin delete shadows /all. Mais beaucoup ratent certaines partitions ou se font interrompre.

Pour vérifier :

Ouvrez l'invite en admin → vssadmin list shadows. S'il liste des copies, vous avez de l'espoir.
Utilisez ShadowExplorer (gratuit, open source) ou EaseUS Data Recovery Wizard pour parcourir les shadow copies et restaurer les fichiers d'avant infection.

Récupération de fichiers temporaires et signatures binaires

EaseUS Data Recovery Wizard peut aussi scanner les secteurs libres du disque à la recherche de fragments non chiffrés : fichiers .tmp d'Office, autosaves d'Adobe, brouillons de Photoshop (.psb), miniatures EXIF des photos.

Procédure :

Installez EaseUS Data Recovery Wizard sur une clé USB ou un autre PC (pas sur le système infecté).
Branchez le disque infecté en read-only sur le PC sain (ou bootez depuis un live USB de récupération).
Lancez un scan approfondi.
Filtrez par type de fichier (.docx, .jpg, .xlsx) et par date antérieure à l'infection.
Restaurez vers un disque vierge.

Sur les six derniers tests effectués (cas réels documentés via la communauté de support), cette méthode a récupéré 15 à 40 % du contenu — pas idéal, mais souvent meilleur que zéro.

★ Éditeur fondé en 2004 · ✓ Garantie 30 jours · Version gratuite jusqu'à 2 Go

Lancer un scan EaseUS Data Recovery Wizard→

Phase 6 — Plainte, notification et durcissement

Porter plainte

France : commissariat ou en ligne sur cybermalveillance.gouv.fr. Ne pas oublier la plainte au pénal pour activer l'assurance cyber le cas échéant.
États-Unis : signalement IC3 (ic3.gov).
Espagne : INCIBE / Policía Nacional.
UE : Europol via le portail national.

Notification CNIL

Si vous traitez des données personnelles de tiers (clients, salariés, contacts), une notification CNIL sous 72 heures est obligatoire en cas de fuite probable. Le formulaire est sur cnil.fr.

Reconstruction et durcissement

Après l'incident, ne reconnectez jamais un système qui a été infecté sans réinstallation propre. Et avant de remettre en service :

Patchs OS à jour, EDR à jour.
Sauvegardes 3-2-1 strictement appliquées, dont une copie hors site immuable.
Authentification multifacteur partout (mail, cloud, accès distant).
Désactivation des macros Office par défaut.
Filtrage des extensions à risque (.exe, .scr, .js, .vbs, .iso, .img) à la passerelle mail.

Voir notre guide Backup automatique Windows / Mac 2026 pour la mise en place d'une stratégie de sauvegarde résistante aux ransomwares.

Ne pas céder au paiement : pourquoi

Les autorités (ANSSI, FBI, CISA, Europol) recommandent à l'unanimité de ne pas payer. Raisons :

Aucune garantie de récupération : 1 victime sur 4 ne reçoit pas de clé fonctionnelle après paiement (Sophos State of Ransomware 2024).
Financement de la cybercriminalité : votre paiement finance la prochaine campagne.
Marquage comme cible rentable : les acteurs partagent les listes de payeurs. Réinfections fréquentes dans les 18 mois.
Sanctions : payer certains groupes (placés sur listes OFAC, UE, ONU) peut constituer un délit.

Le bon réflexe : restaurer depuis sauvegarde ou déchiffreur, durcir, et tirer les leçons.

Ressources